Задача простая: нужно поставить брейкпоинт при запуске процесса lsass.exe Как это можно сделать? В ручную редактирвать exe'шник для постановки int 3 уж очень не хочеться. Отлаживать буду через VmWare+WinDbg(ядерный)
Про WinDBG не помню, но в Soft ICE есть строка инициализации, нужно выбрать подходящий режим запуска Soft ICE, в его строке инициализации прописать смену контекста на lsass.exe + bp X. Хотя возможностей Soft Ice при таком методе может и не хватить.
я дебажил старт лсасса айсом для этого был написан драйверок который ничего не делал, только ProcessNotofication - 0хСС в иде смотрел где ентри пойнт, и когда после ребута приходил нотификейшин от лсасс-а, переключал контекст и ставил брейк все отлично дебажилось, на варах кстати
виндбг-ой если хочешь - сделай так: сам по себе лсасс - это затычка, там весь винмайн - десяток вызовов из LSASRV.DLL посмотри в иде который первый и скажи в виндбг на него bu
z0mailbox если просто при загрузке винды написать bu LsapCheckBootMode то брейк не срабатывает. Проблема с символами для юзер спейс процессов. В ядерном отладчике делаю: .process /i Process_address .reload /user только потом можно использовать символы. А как прогрузить символы до загрузки процесса я хз. Посоветуй...
ну виндбг-ой я лично не делал попробуй в два брейка - сначала ядерный куда-нибудь в районе CreateProcess где поудобнее а потом уже переключив контекст - на юзерный доберусь до работы - попробую, там у меня настроен ядерный виндбг на варах
